< Back
Red programming code displayed on a dark screen, forming the silhouette of a skull, symbolising cyberthreats.

Tags:

Threat intelligence
25 Marzo 2026

Resumen Semanal de los ciberataques 19-25 Marzo

5 paquetes maliciosos de npm que se aprovechan de errores ortográficos en las bibliotecas de Solana y Ethereum para robar claves privadas  

Investigadores de ciberseguridad ha identificado una campaña maliciosa en npm que involucraba cinco paquetes publicados bajo la cuenta "galedonovan", los cuales se hacían pasar por bibliotecas legítimas de criptomonedas mediante typosquatting para robar claves privadas a desarrolladores que trabajan con Solana y Ethereum. Los paquetes (raydium-bs58, base_xd, base-x-64, bs58-basic y ethersproject-wallet) se hacen pasar por bibliotecas de uso generalizado, como bs58, base-x y @ethersproject/wallet, y extraen material de claves confidenciales a través de un bot de Telegram codificado de forma fija, con una infraestructura de mando y control (C2) cuya actividad se confirmó a fecha de 23 de marzo de 2026. 

FBI: Hackers atacan a sus oponentes con malware en Telegram  

La Oficina Federal de Investigación (FBI) alertó sobre una actividad cibernética maliciosa en curso llevada a cabo por agentes vinculados al Ministerio de Inteligencia y Seguridad de Irán (MOIS), quienes están utilizando Telegram como infraestructura de mando y control (C2) para distribuir malware contra disidentes iraníes, periodistas y grupos de la oposición en todo el mundo. La campaña, observada al menos desde 2023, se basa en un marco de malware de varias fases dirigido a sistemas Windows, que combina ingeniería social con técnicas de distribución personalizadas para aumentar el éxito de la infección. Los autores de la amenaza se hacen pasar por personas de confianza o por el servicio de asistencia técnica a través de plataformas de mensajería para persuadir a las víctimas de que descarguen aplicaciones troyanizadas camufladas como software legítimo, como Telegram, KeePass, Pictory o WhatsApp. 

El nuevo malware bancario para Android Perseus monitorea las aplicaciones de notas  

Investigadores de ciberseguridad revelaron una nueva familia de malware bancario para Android llamada Perseus, diseñada para permitir la toma de control del dispositivo (Device Takeover o DTO) y el fraude financiero avanzado. El malware se distribuye activamente a través de phishing y aplicaciones maliciosas, aprovechando el abuso de los Servicios de Accesibilidad (Accessibility Services) de Android para obtener un control exhaustivo sobre los dispositivos infectados. Una vez instalado, Perseus permite a los atacantes llevar a cabo sesiones remotas en tiempo real, lo que les permite interactuar de forma completa con el dispositivo de la víctima y eludir muchos mecanismos tradicionales de detección de fraudes. 

Señuelos de derechos de autor enmascaran un ataque multifase del Stealer PureLog en industrias clave  

Investigadores de Trend Micro descubrieron una campaña de malware multifase dirigida que distribuye el infostealer PureLog, utilizando señuelos de infracción de derechos de autor para engañar a las víctimas y lograr que ejecuten archivos maliciosos. La campaña se basa en documentos de phishing localizados y en idiomas específicos disfrazados de avisos legales, lo que aumenta significativamente la probabilidad de interacción por parte del usuario. La selección de objetivos observada se centra en los sectores de salud, gobierno, hostelería y educación, con una actividad notable en países como Alemania y Canadá, lo que indica una victimología selectiva e impulsada por inteligencia en lugar de un enfoque amplio y oportunista. La cadena de infección es altamente estructurada y evasiva, y consta de múltiples etapas diseñadas para dificultar la detección y el análisis. 

La proliferación de DarkSword: una cadena de vulnerabilidades para iOS adoptada por múltiples actores maliciosos  

El Grupo de Inteligencia sobre Amenazas de Google (GTIG) identificó DarkSword, una nueva cadena de exploits para iOS que aprovecha seis vulnerabilidades, entre ellas varios zero-day, para comprometer por completo dispositivos con iOS 18.4 a 18.7 e instalar malware de fase final con privilegios completos de kernel. El GTIG afirmó que, al menos desde noviembre de 2025, DarkSword ha sido utilizado por múltiples actores maliciosos, incluidos proveedores de vigilancia comercial y presuntos actores patrocinados por el Estado, en campañas dirigidas a usuarios de Arabia Saudí, Turquía, Malasia y Ucrania. El GTIG también vinculó la cadena de exploits a tres familias distintas de malware de post-explotación: GHOSTBLADE, GHOSTKNIFE y GHOSTSABER.